Compartir archivos es una característica fundamental en la infraestructura de nuestra organización. La capacidad de compartir información entre todos los usuarios de la organización y tenerla centralizada supone todo un reto. El administrador de sistemas tiene que tener claro lo que necesita compartir e identificar qué usuarios deben de tener acceso.

Microsoft implementó Active Directory para identificar a los usuarios, sobre todo en sus versiones de Microsoft Server. El pilar fundamental de este rol son los usuarios y los grupos. Active Directory Domain Services es el rol encargado de validar y proveer al usuario los grupos a los que pertenece.

Desde Windows Server 2012, Microsoft da una vuelta de tuerca a la identificación de usuarios y seguridad de carpetas. Centraliza una nueva función llamada Dynamic Access Control.

Este sistema se basa en el uso de token de seguridad que proporciona el controlador de dominio. Una vez validado al usuario, provee al mismo de un token de seguridad donde incluye los claims.

Los claims son atributos que hemos definido anteriormente. Se pueden definir en la pestaña de atributos del usuario dentro de las propiedades del usuario en el Active Directory.

Ese token de seguridad proporciona a nuestro usuario otra capa de identificación. Se puede usar en la identificación de aplicaciones que lo soporten sin necesidad de crear un usuario específico para ello. La aplicación al confiar en el emisor del token permitiría el acceso al recurso protegido.

Dynamic Access Control lo usaremos principalmente para redes muy complejas, donde la administración con grupos y usuarios es demasiado complicado. 

Esta función tiene mucha relación con el rol de File Server Resources Manager.

Podemos centralizar las reglas de clasificación desde Active Directory Administrative Center para clasificar el contenido de nuestras carpetas. De esta manera podemos, desde las políticas centrales de DAC, dar permisos específicos para que se apliquen a la misma. Si además, creamos en el FSRM reglas de clasificación automática, daríamos acceso a contenido a los usuarios definidos en nuestra política. También en el caso contrario, podríamos limitar el acceso a contenido si nuestra política lo tiene definido así.

Esto supone un mínimo esfuerzo administrativo, una vez configurada nuestra infraestructura.

La identidad basada en claims puede simplificar en gran medida el proceso de autentificación. El usuario no tiene que iniciar sesión varias veces en cada una de las aplicaciones. Un solo inicio de sesión crea el token que se utiliza para autenticarse en varias aplicaciones o sitios web. Además, debido a que ciertos claims se integran con el token, se puede usar para que rellenar formularios web o se puede usar en el registro en aplicaciones.

Dynamic Access Control es una implementación muy interesante para automatizar accesos a carpetas y aplicaciones. Personalmente no lo recomendaría en infraestructuras más simples, donde no sea muy enrevesada. No recomiendo la identificación basada en claims que implementa Dynamic Access Control, a no ser que sea necesario para usar la función de los tokens para el uso con aplicaciones. Aunque habría que valorar cada caso, ya que las funciones y posibilidades de evolución son muy interesantes.

Para profundizar en el tema, os dejo una guia oficial.

 

Daniel Sánchez Santamaría

www.linkedin.com

Curso Microsoft MCSE Cloud Infrastructure 2016-2017

Centro de Formación Tajamar